Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.

Organisaation on otettava käyttöön ja ylläpidettävä valvontaa verkon rajojen turvaamiseksi ja palomuurin hallinnan hallitsemiseksi.

Tähän sisältyy:

• sisäisten verkkojen ja ulkoisten yhteyksien (mukaan lukien internet) välisen liikenteen turvaaminen.
• roolien ja vastuualueiden selkeä määrittely palomuurisääntöjen ja yhteyssuodattimien määrittelyä, käyttöönottoa, hyväksymistä, muuttamista ja tarkistamista varten.
• verkkoarkkitehtuurin ja turvallisuussuunnittelun vuosittainen tarkistaminen (mikroyritysten osalta säännölliset tarkistukset) haavoittuvuuksien tunnistamiseksi.
• Toteutetaan toimenpiteitä aliverkkojen tai komponenttien eristämiseksi väliaikaisesti, jos se on tarpeen uhkien torjumiseksi.

Varmistetaan turvallinen verkkoarkkitehtuuri ja -hallinta ottamalla käyttöön pääsynvalvontajärjestelmät, jotka havaitsevat ja estävät luvattomia laitteita tai järjestelmiä liittymästä rahoituslaitoksen verkkoon.

Verkkoyhteydet on salattava kaikissa ympäristöissä, olivatpa ne sitten yrityksen, julkisia, kotimaisia, kolmannen osapuolen tai langattomia, asianmukaisia protokollia käyttäen. Tämä olisi sovitettava yhteen tietoluokituksen ja tieto- ja viestintätekniikan riskinarviointien tulosten kanssa.

Lisäksi verkko on suunniteltava siten, että se täyttää finanssiyksikön tieto- ja viestintätekniset tietoturvavaatimukset ja noudattaa johtavia käytäntöjä, joilla turvataan luottamuksellisuus, eheys ja saatavuus.

Organisaatio suojaa langattomat yhteydet suojaamalla verkon vahvoilla salausavaimilla ja käyttämällä WPA2 Enterprise -protokollan kaltaisia protokollia, joilla varmistetaan salattu liikenne verkon reitittimille.

Turvallisessa pääsynvalvonnassa vaaditaan 802.1X:ää käyttävien päätelaitteiden tekninen tunnistaminen ennen verkkoon pääsyä, mikä estää luvattomat yhteydet, ellei niitä ole fyysisesti rajoitettu.

Turvallista konfigurointia varten on määritelty vakiomallit, jotka ylläpitävät suojausominaisuuksia, kuten pääsynvalvontaa, koko laitteen ja verkon elinkaaren ajan ja tukevat siten 802.1X:n ja WPA2 Enterprisen kaltaisten turvallisten protokollien käyttöönottoa.

Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.

Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:

• Rajoitusten asettaminen tietojärjestelmien liittämiselle verkkoon riskinarviointien perusteella.
• Tietoturvatekniikoiden toteutus, jotka täyttävät organisaation erityiset tietoturvavaatimukset.
• Varmistetaan, että suorituskyky, luottamus, saatavuus, turvallisuus ja suojaus asetetaan etusijalle kaikissa verkonhallintaa koskevissa päätöksissä.
• Määritellään strategiat vaikutusten rajoittamiseksi, jos tietojärjestelmät ovat vaarassa, ja keskitytään nopeaan torjuntaan.
• Integroidaan mekanismeja mahdollisten hyökkäysten ja hyökkääjien lateraalisen liikkumisen havaitsemiseksi verkon eri segmenttien välillä.
• Eri käyttötarkoituksia (esim. testaus/kehitys, toimisto, valmistus) palvelevien verkkojen erottaminen toisistaan ristikkäisten verkkoriskien estämiseksi.
• Puututaan lisääntyneeseen riskiin, joka aiheutuu Internetin kautta saatavilla olevista verkkopalveluista, erityisesti ulkoisiin palveluihin suuntautuvista palveluista.
• Käytetään teknologiakohtaisia erotteluvaihtoehtoja, kun ulkoiset IT-palvelut ovat käytössä riskien vähentämiseksi.
• Varmistetaan omien verkkojen ja asiakasverkkojen riittävä erottelu asiakkaan vaatimusten mukaisesti.
• Toteutetaan toimenpiteitä tietojen katoamisen tai vuotamisen havaitsemiseksi ja estämiseksi sekä varmistetaan arkaluonteisten tietojen suojaus.

Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:

• Käyttäjien rekisteröinti ja poistaminen
• Pääsyoikeuksien jakaminen
• Pääsyoikeuksien uudelleenarviointi
• Pääsyoikeuksien poistaminen tai muuttaminen

Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.